Quiero analizar el protocolo / tráfico SSO que se implementa en un entorno real, como un sitio web comercial. El desafío es que la mayoría de ellos son de caja negra.
Escenario 1 . Leí varios artículos sobre el análisis de SSO. La mayoría de ellos desarrolló su propio analizador de tráfico SSO, que puede convertir el tráfico HTTP relacionado con SSO en un formato legible por el ser humano. Pero normalmente no explican los detalles técnicos y publican sus herramientas.
Escenario 2 . Otro método que alguien me aconsejó here es analizar a través del depurador del navegador web. Pero el desafío es que: 1. el tráfico HTTP que se muestra en el depurador no es legible para los humanos; 2. demasiado tráfico HTTP para enfocar solo en SSO relacionado.
Escenario 3 . Probé varios complementos del navegador, como SAML Tracer (chrome) y SSO Tracer (firefox). Fue útil rastrear el tráfico del SSO en sitio web de demostración solo, pero no en sitios web comerciales, como los sitios web habilitados para inicio de sesión de Google / Facebook / Yahoo (proveedores de servicios SSO para openid / saml IDP).
Mis preguntas son:
-
¿Cuál es la razón del escenario 3?
-
Sugiera una metodología práctica para analizar el tráfico de SSO.